Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Combofix zeigt infizierte user32.dll - Win32.Patched? (https://www.trojaner-board.de/63626-combofix-zeigt-infizierte-user32-dll-win32-patched.html)

Rattle07 04.11.2008 16:01
Combofix zeigt infizierte user32.dll - Win32.Patched?
 
Moin!

Auch mich hat es mal wieder erwischt - Nachdem meine ZoneAlarm schon mit einer Warnung wegen eines Trojaners (Win32.patched.dn) kam, bestätigte auch folgendes Log von Combofix mir eine infizierte user32.dll an. Was nun?

Zitat:
ComboFix 08-11-03.06 - Tim 2008-11-04 15:46:34.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.564 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Tim\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\autorun.ini
c:\windows\system32\drivers\npf.sys
c:\windows\system32\packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_NPF


((((((((((((((((((((((( Dateien erstellt von 2008-10-04 bis 2008-11-04 ))))))))))))))))))))))))))))))
.

2008-11-04 15:28 . 2008-11-04 15:28 <DIR> d-------- c:\windows\Sun
2008-11-04 15:27 . 2008-11-04 15:27 <DIR> d-------- c:\programme\Java
2008-11-04 15:27 . 2008-11-04 15:27 410,976 --a------ c:\windows\system32\deploytk.dll
2008-11-04 15:27 . 2008-11-04 15:27 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-11-04 15:16 . 2008-11-04 15:16 <DIR> d-------- c:\dokumente und einstellungen\Tim\Anwendungsdaten\Malwarebytes
2008-11-04 15:15 . 2008-11-04 15:15 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-04 15:15 . 2008-11-04 15:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-04 15:15 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-04 15:15 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-04 15:11 . 2004-08-03 23:00 22,016 --a------ c:\windows\system32\drivers\MSIRCOMM.sys
2008-11-04 15:11 . 2004-08-03 23:00 22,016 --a------ c:\windows\system32\dllcache\msircomm.sys
2008-11-04 15:10 . 2008-11-04 15:10 0 --a------ C:\rollback.ini
2008-11-04 15:06 . 2008-11-04 15:06 <DIR> d-------- c:\dokumente und einstellungen\Tim\Anwendungsdaten\MailFrontier
2008-11-04 14:53 . 2008-11-04 15:48 32 --ahs---- c:\windows\system32\drivers\fidbox.idx
2008-11-04 14:53 . 2008-11-04 15:48 32 --ahs---- c:\windows\system32\drivers\fidbox.dat
2008-11-04 14:51 . 2008-11-04 14:51 <DIR> d-------- c:\programme\ZoneAlarm
2008-11-04 14:51 . 2008-11-04 14:51 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-11-04 14:46 . 2008-11-04 14:46 <DIR> d-------- c:\dokumente und einstellungen\Tim\Anwendungsdaten\AdobeUM
2008-11-04 14:44 . 2008-11-04 14:44 2 --a------ c:\windows\msoffice.ini
2008-11-04 14:40 . 2008-11-04 14:40 <DIR> d-------- c:\programme\Zone Labs
2008-11-04 14:38 . 2008-11-04 14:38 <DIR> d-------- c:\windows\Internet Logs
2008-11-04 14:15 . 2007-07-30 19:19 43,352 --a------ c:\windows\system32\wups2.dll
2008-11-04 14:15 . 2007-07-30 19:18 34,136 --a------ c:\windows\system32\wucltui.dll.mui
2008-11-04 14:15 . 2007-07-30 19:20 30,040 --a------ c:\windows\system32\wuaucpl.cpl.mui
2008-11-04 14:15 . 2007-07-30 19:20 30,040 --a------ c:\windows\system32\wuapi.dll.mui
2008-11-04 14:15 . 2007-07-30 19:18 20,824 --a------ c:\windows\system32\wuaueng.dll.mui
2008-11-04 14:14 . 2008-11-04 14:14 <DIR> d---s---- c:\dokumente und einstellungen\Tim\UserData
2008-11-04 13:58 . 2008-11-04 13:58 <DIR> d-------- c:\windows\system32\LogFiles
2008-11-04 13:52 . 2007-07-12 11:58 49,904 -ra------ c:\windows\system32\drivers\BVRPMPR5.SYS
2008-11-04 13:00 . 2004-08-16 08:17 180,224 --a------ c:\windows\ADDITEM.EXE
2008-11-04 13:00 . 2006-07-17 20:30 159,821 --a------ c:\windows\EMEAPAGE.EXE
2008-11-04 13:00 . 2006-07-19 02:21 84 --a------ c:\windows\EMEAPAGE.INI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-04 11:47 --------- d-----w c:\programme\Alice Software
2008-11-04 11:47 --------- d-----w c:\dokumente und einstellungen\Tim\Anwendungsdaten\Hansenet
2008-11-04 11:15 --------- d-----w c:\programme\WinPCap
2008-11-04 11:14 21,275 ----a-w c:\windows\system32\drivers\AegisP.sys
2008-11-04 11:14 --------- d-----w c:\windows\system32\config\systemprofile\Anwendungsdaten\Intel
2008-11-04 11:14 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Intel
2008-11-04 11:13 --------- d-----w c:\programme\Launch Manager
2008-11-04 11:10 --------- d-----w c:\programme\WIDCOMM
2008-11-04 11:08 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
.
c:\windows\system32\user32.dll ... ist infiziert !!
578,560 2004-08-04 04:00:00 c:\windows\system32\user32.dll


------- Sigcheck -------

md5deep: c:\windows\system32\user32.dll: Permission denied
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-08-04 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 53248]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761946]
"ADMTray.exe"="c:\acer\Empowering Technology\admtray.exe" [2005-10-24 2462208]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 69632]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-20 7581696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-07-20 86016]
"PCMService"="c:\program files\Acer\Acer Arcade\PCMService.exe" [2006-08-09 151552]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-08-10 352256]
"Acer ePower Management"="c:\acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-05-22 3080704]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-07-20 593920]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2006-01-24 397312]
"ZoneAlarm Client"="c:\programme\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-04 136600]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 c:\windows\system32\bthprops.cpl]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]
"nwiz"="nwiz.exe" [2006-07-20 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mkdmp3enc"= c:\progra~2\Acer\ACERAR~1\Kernel\Burner\MKDMP3Enc.ACM

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 9.0 Tray-Symbol.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AOL 9.0 Tray-Symbol.lnk
backup=c:\windows\pss\AOL 9.0 Tray-Symbol.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 01:11 1667584 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ntiMUI]
--a------ 2006-05-15 11:15 45056 c:\programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-08-29 23:21 98304 c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=

R1 OsaFsLoc;OsaFsLoc;c:\windows\system32\drivers\OsaFsLoc.sys [2005-10-15 12106]
R2 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2006-01-23 4096]
R2 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2006-01-23 78208]
R2 int15.sys;int15.sys;c:\acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 69632]
R2 JavaQuickStarterService;Java Quick Starter;c:\programme\Java\jre6\bin\jqs.exe [2008-11-04 152984]
R2 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2005-06-30 7296]
R2 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys [2005-01-14 4010]
R3 NdisFilt;OSA NdisFilter Protocol;c:\windows\system32\Drivers\NdisFilt.sys [2005-09-13 4392]
S3 lv321av;Logitech USB PC Camera (VC0321);c:\windows\system32\DRIVERS\lv321av.sys [2006-06-19 1097728]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-AOLDialer - c:\programme\Gemeinsame Dateien\AOLSHARE\AOLDialReg.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Tim\Anwendungsdaten\Mozilla\Firefox\Profiles\u0s1sbr0.default\
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npjp2.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npdeploytk.dll
FF -: plugin - c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-04 15:49:26
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\windows\system32\ZONELABS\vsmon.exe
c:\windows\system32\ZONELABS\avsys\ScanningProcess.exe
c:\windows\system32\ZONELABS\avsys\ScanningProcess.exe
c:\acer\Empowering Technology\admServ.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\dokume~1\Tim\LOKALE~1\Temp\RtkBtMnt.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-04 15:51:36 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-04 14:51:30

Vor Suchlauf: 17 Verzeichnis(se), 67.384.508.416 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 67,419,340,800 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

199
Hoffe, ihr könnt mir helfen, auch wenn ich sonst eigentlich nicht so PC bewandert bin.

MFG Tim

Rattle07 04.11.2008 19:21
Hab ich irgendwie falsch gepostet und keiner hat Rat oder warum antwortet mir keiner :(?


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:23 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131